mboost-dp1
unknown
"I download the software again (this time coming from -- I kid you not! -- a numeric IP address [...]"
Åh dog! En numerisk IP adresse! I modsætning til hvad? En femkantet IP adresse? En polkaprikket IP adresse?
Det er vel en misforstået tautologi for at ligge vægt på, at kilden ikke har nogen DNS. for I denne omg .NET bbq verden vi lever i, kan man ikke betragtes som en sikker kilde, hvis man ikke har noget DNS navn... wtf
Så må vi hellere blive væk fra http://207.46.134.90 og http://207.46.249.57 ... Numeriske IP adresser! Dem kan vi ikke stole på! Åh dog...
Åh dog! En numerisk IP adresse! I modsætning til hvad? En femkantet IP adresse? En polkaprikket IP adresse?
Det er vel en misforstået tautologi for at ligge vægt på, at kilden ikke har nogen DNS. for I denne omg .NET bbq verden vi lever i, kan man ikke betragtes som en sikker kilde, hvis man ikke har noget DNS navn... wtf
Så må vi hellere blive væk fra http://207.46.134.90 og http://207.46.249.57 ... Numeriske IP adresser! Dem kan vi ikke stole på! Åh dog...
Han forsøger at skræmme folk til at bruge en dårlig webbrowser på platte grundlag om "ukendte" mirrors. Manden siger jo også at han ikke kan se sin blog ordenligt i firefox, og det er jo soleklart, grundet den store IE ubredelse og M$ manglede respekt for den generelle måde at lave hjemmesider på er skyld i dette.
Desuden kan man kun bruge IE til windowsupdate, hvilket gør at IE er nødt til at være installeret, (hvis man ikke vil hente alle opdateringer manuelt altså).
Desuden kan man kun bruge IE til windowsupdate, hvilket gør at IE er nødt til at være installeret, (hvis man ikke vil hente alle opdateringer manuelt altså).
#47 Jeg må indrømme at jeg aldrig har kigget efter signaturer, hverken da jeg kørte IE eller nu. Og der synes at være en del der argumenterer for at disse signaturer ikke er lig sikkerhed? (Det er som sagt ikke et område jeg har nogen erfaring med, så det er ikke noget jeg kan deltage i en diskussion omkring).
Men nu installerer jeg normalvis også kun programmer hvor jeg har en hvis tillid til sitet.
Jeg vidste ikke at "manglende funktionalitet" var "security through obscurity"? Tænker du på noget specifikt?
Men nu installerer jeg normalvis også kun programmer hvor jeg har en hvis tillid til sitet.
Jeg vidste ikke at "manglende funktionalitet" var "security through obscurity"? Tænker du på noget specifikt?
#12
Rart at se, at andre har en mening, men du har ret, kritik er ikke just noget microsoft er glade for.
M.h.t denne blog, så gider jeg ikke læse ret meget, i den,
fordi jeg til altid, vil kunne finde en bug i IE.
IE er som en si, så fik jeg det sagt.
Mozilla Firefox, ganske god. Til Open Source.
Rart at se, at andre har en mening, men du har ret, kritik er ikke just noget microsoft er glade for.
M.h.t denne blog, så gider jeg ikke læse ret meget, i den,
fordi jeg til altid, vil kunne finde en bug i IE.
IE er som en si, så fik jeg det sagt.
Mozilla Firefox, ganske god. Til Open Source.
Sidder pt og prøver at redde konens bærbar efter en seriøst spyware/vira hjerneblødning.
Det er kommet efter jeg overlod den til hende og fordi hun bruger skod IE. Der var no probs da jeg var ved den. Hun sagde at hun kom til en eller anden side og så startede al crap'et.
Lame af ham M$ gutten at påpege at mozilla skulle have certificering når det er M$'s som tuder over at der kan være probs med install-filen. De kunne vel bare godkende downloads fra mozilla.com/firefox
Det er kommet efter jeg overlod den til hende og fordi hun bruger skod IE. Der var no probs da jeg var ved den. Hun sagde at hun kom til en eller anden side og så startede al crap'et.
Lame af ham M$ gutten at påpege at mozilla skulle have certificering når det er M$'s som tuder over at der kan være probs med install-filen. De kunne vel bare godkende downloads fra mozilla.com/firefox
#49 Har du overhovedet læst hans artikel?
"Looser."
Han belyser da nogle interessante ting ved firefox. Og jeg mener ikke at man skal fortælle vidt og bredt om uløste fejl i produkterne - da kun et fåtal af brugere vil læse disse fejlbeskrivelser - så er det vel smartere at alle (incl hackere) Lever i uvidenhed end at hackere + den gennemsnitlige newz.dk læser kender til fejlen og ved hvordan man undgår den.
-Bravo
"Looser."
Han belyser da nogle interessante ting ved firefox. Og jeg mener ikke at man skal fortælle vidt og bredt om uløste fejl i produkterne - da kun et fåtal af brugere vil læse disse fejlbeskrivelser - så er det vel smartere at alle (incl hackere) Lever i uvidenhed end at hackere + den gennemsnitlige newz.dk læser kender til fejlen og ved hvordan man undgår den.
-Bravo
Siden jeg fjernede ALLE referencer til MSIE på min fars maskine og tvang ham til at bruge Firefox har jeg endnu ikke måtte hjem og støvsuge for spyware og vira - hvilket jeg ellers plejede så'n ca. hver måned.
Så er enig med #57, beviserne taler for sig selv. Torr fokuserer på signering alt for meget og glemmer de rent faktiske problemer som Hr og Fru Jensen står med derhjemme som er laaangt mere alvorlig en spørgsmålet om man har tiltro til mozilla.org eller microsoft.dk
Så er enig med #57, beviserne taler for sig selv. Torr fokuserer på signering alt for meget og glemmer de rent faktiske problemer som Hr og Fru Jensen står med derhjemme som er laaangt mere alvorlig en spørgsmålet om man har tiltro til mozilla.org eller microsoft.dk
#51 1. han har forklaret årsagen til at kalde det numerisk, 2. en IPv6 addresse er ikke numerisk.
Det han mener er at istedet for brugeren skal til at hente md5 hashes, lave reverse lookups på ip addresser m.m. så er signaturer et godt grundlag til at hjælpe brugeren i at forstå hvem han henter fra.
Fordi så er der ikke noget med underlige ip addresser, underlige domænenavne m.m.
#55 Manglende funktionalitet ville som i Outlook/Outlook Express' tilfælde fx være at du ikke må hente filer af bestemt filtype, selvom der teknisk set ikke behøver at være noget i vejen med filen.
Du kan(kunne?) derimod heller ikke indstille det ordenligt, så den kunne indstilles til filtyper af eget valg.
Det ville være en ting jeg kalder "Security through obscurity".
I et tilfælde er mangel på identifikation af signaturer i sig selv "security through obscurity", fordi der kan man ikke vide hvor det er signeret eller ej.
Men vender man den om kan man eventuelt have problemer med at skelne forskellen på gode og dårlige firmaer.
I et andet tilfælde vil jeg ikke direkte skyde skylden på dem der udvikler det, da de af gode grunde ikke kan benytte sig af ActiveX.
Men når man fx står for spørgsmålet om at hente firefox eller beholde Internet Explorer. Så er argumentet typisk noget med at man skifter til Firefox pga spyware/malware (Eller med andre ord: ActiveX).
Men problemet er jo bare at du sagtens kan tilpasse dine internetindstillinger til at udelukke ActiveX.
I et tredje tilfælde, kan det fx nævnes i den nyhed Secunia havde med 10 fejl i Firefox, det var i stærk grad hvad kaldes "Security through obscurity".
Da det handler om signaturer kan man som jeg allerede skrev godt hive "security through obscurity" op, men som #8 så også mente(?), hjælper det overhovedet at vi får den oplyst?
Ville som afslutning også kalde FF's indstillinger hen imod sikkerhed for ret tamme da jeg synes det meste af sikkerheden åbenbart skal stilles via about:config. Hvilket vel også til en grad kan kaldes "security through obscurity".
Det han mener er at istedet for brugeren skal til at hente md5 hashes, lave reverse lookups på ip addresser m.m. så er signaturer et godt grundlag til at hjælpe brugeren i at forstå hvem han henter fra.
Fordi så er der ikke noget med underlige ip addresser, underlige domænenavne m.m.
#55 Manglende funktionalitet ville som i Outlook/Outlook Express' tilfælde fx være at du ikke må hente filer af bestemt filtype, selvom der teknisk set ikke behøver at være noget i vejen med filen.
Du kan(kunne?) derimod heller ikke indstille det ordenligt, så den kunne indstilles til filtyper af eget valg.
Det ville være en ting jeg kalder "Security through obscurity".
I et tilfælde er mangel på identifikation af signaturer i sig selv "security through obscurity", fordi der kan man ikke vide hvor det er signeret eller ej.
Men vender man den om kan man eventuelt have problemer med at skelne forskellen på gode og dårlige firmaer.
I et andet tilfælde vil jeg ikke direkte skyde skylden på dem der udvikler det, da de af gode grunde ikke kan benytte sig af ActiveX.
Men når man fx står for spørgsmålet om at hente firefox eller beholde Internet Explorer. Så er argumentet typisk noget med at man skifter til Firefox pga spyware/malware (Eller med andre ord: ActiveX).
Men problemet er jo bare at du sagtens kan tilpasse dine internetindstillinger til at udelukke ActiveX.
I et tredje tilfælde, kan det fx nævnes i den nyhed Secunia havde med 10 fejl i Firefox, det var i stærk grad hvad kaldes "Security through obscurity".
Da det handler om signaturer kan man som jeg allerede skrev godt hive "security through obscurity" op, men som #8 så også mente(?), hjælper det overhovedet at vi får den oplyst?
Ville som afslutning også kalde FF's indstillinger hen imod sikkerhed for ret tamme da jeg synes det meste af sikkerheden åbenbart skal stilles via about:config. Hvilket vel også til en grad kan kaldes "security through obscurity".
Ville som afslutning også kalde FF's indstillinger hen imod sikkerhed for ret tamme da jeg synes det meste af sikkerheden åbenbart skal stilles via about:config. Hvilket vel også til en grad kan kaldes "security through obscurity".
Nu skal man jo så huske hvilken målgruppe Firefox henvender sig til, nemlig "no frills" markedet hvor "simpler is better".
Vil du have en masse fine dialogbokse til indstillinger, hjælpefiler og features så er det Mozilla suiten du skal have fat i.
#60
Jeg har da ikke været inde i "about:config" en eneste gang, og jeg har da ikke problemer (jeg bruger bare menuen i toppen til mine indstillinger)?
citat: "Men problemet er jo bare at du sagtens kan tilpasse dine internetindstillinger til at udelukke ActiveX."
Så er vi tilbage ved: I IE skal du AKTIVT gøre din browser "sikker", i Firefox skal du AKTIVT gøre den "usikker".
Jeg er ikke helt sikker på at jeg forstår din definition af "security through obscurity"? Jeg har svært ved at se hvordan Firefox sikkerhedsindstillinger har noget med det at gøre. At mozilla gemmer bugreports er "security through obscurity", at de afstår fra at implementere ActiveX er ikke, det er blot uvilje til at implementere en notorisk sikkerhedsrisiko, i mine øjne?
Jeg har da ikke været inde i "about:config" en eneste gang, og jeg har da ikke problemer (jeg bruger bare menuen i toppen til mine indstillinger)?
citat: "Men problemet er jo bare at du sagtens kan tilpasse dine internetindstillinger til at udelukke ActiveX."
Så er vi tilbage ved: I IE skal du AKTIVT gøre din browser "sikker", i Firefox skal du AKTIVT gøre den "usikker".
Jeg er ikke helt sikker på at jeg forstår din definition af "security through obscurity"? Jeg har svært ved at se hvordan Firefox sikkerhedsindstillinger har noget med det at gøre. At mozilla gemmer bugreports er "security through obscurity", at de afstår fra at implementere ActiveX er ikke, det er blot uvilje til at implementere en notorisk sikkerhedsrisiko, i mine øjne?
"I personally don't care if people choose to run Firefox or Linux or any other software on their computers -- it's their computer, after all -- but we'll never get past the spyware / adware problem if people continue to think that installing unsigned code from random web sites is A Good Idea."
Flinkt af en MS ansat, at tillade os, selv at vælge hvad vi vil bruge på vores maskiner. Det er jo trods alt vores!
Jeg kan endda skifte hele hardwaren ud og lægge et system ind der ligner det jeg kender ;-)
Sjovt at IE før SP2 også havde ganske let ved at åbne 'untrusted' filer. Her trykkede man bare åbn istedet for gem, og så kørte det.
Måske gider Mozilla ikke at bruge program signaturer fordi de ikke vil støtte have at store firmaer skal kunne bestemme hvem der kan underskrive hvad?
En anden metode ville være web of trust, hvor man til hver fil kunne se kommentarer fra brugerne og hvem der ikke mener at softwaren er skadelig. Man skulle så kunne abonnere på review firmaer, så man f.eks. kunne tilmelde sig 3 af disse, og mindst 2 af dem skulle sige god for softwaren. Hvis bare ét af dem sagde at softwaren var skidt, skulle man ikke kunne installere det.
Herved vil det aldrig være firmaer selv der skal stå for at 'signe' deres programmer, men brugerene.
Konceptet kan selvfølgelig udvides til alle ting der findes på nettet, så man ikke kommer til at surfe ind på goatse.cx uden at blive advaret i forvejen.
Så måske er det den simple grund til at Mozilla ikke gider benytte Microsofts (der er ingen store certifikatfirmaer som ikke er med som standard i Microsofts programmer) metode til at verificere programmer.
Måske gider Mozilla ikke at bruge program signaturer fordi de ikke vil støtte have at store firmaer skal kunne bestemme hvem der kan underskrive hvad?
En anden metode ville være web of trust, hvor man til hver fil kunne se kommentarer fra brugerne og hvem der ikke mener at softwaren er skadelig. Man skulle så kunne abonnere på review firmaer, så man f.eks. kunne tilmelde sig 3 af disse, og mindst 2 af dem skulle sige god for softwaren. Hvis bare ét af dem sagde at softwaren var skidt, skulle man ikke kunne installere det.
Herved vil det aldrig være firmaer selv der skal stå for at 'signe' deres programmer, men brugerene.
Konceptet kan selvfølgelig udvides til alle ting der findes på nettet, så man ikke kommer til at surfe ind på goatse.cx uden at blive advaret i forvejen.
Så måske er det den simple grund til at Mozilla ikke gider benytte Microsofts (der er ingen store certifikatfirmaer som ikke er med som standard i Microsofts programmer) metode til at verificere programmer.
#61 Tjoe det kan du godt have ret i, men jeg kan godt lide lidt tweaking funktioner uden man skal have fat i google hele tiden :P
#62 Det var ikke ham der fandt på undskyldningen. Men tænk dog på det hvad nu hvis der pludselig stod http://3ffe:ffff:0100:f101:0210:a4ff:fee3:9566/ffd... ?
Med at bruge udtrykket "Numerisk ip addresse" sikrer han at de fleste folk kan forstå hvad han mener.
#63 nej, hvis du downloader et eksekverbart program fra Firefox er det samme problem der, der foregår bare i et andet miljø. Derfor er det også smart at gøre opmærksom på sikkerheds risiko under download og under eksekvering.
Og ligesom med downloads af filer kan du fravælge dig at hente filen eller eksekvere den. Det ændrer Firefox ikke uanset hvad du tror(Derfor også security through obscurity).
Og det er også derfor at det er brugeren der skal tænke sig om, og det gælder for så vidt IE som FF.
#66 Din idé er ikke dum. Men hvad tror du der sker hvis et firma begynder at titulere fx Gator software som malware? Så sker der det at der kommer en retsag, og så er det firma dødt.
Og er også enig i at før SP2 var der ikke sat stor fokus på det, men synes stadigvæk det gælder at hvis man bruger hovedet så kan man også undgå det meste malware.
#62 Det var ikke ham der fandt på undskyldningen. Men tænk dog på det hvad nu hvis der pludselig stod http://3ffe:ffff:0100:f101:0210:a4ff:fee3:9566/ffd... ?
Med at bruge udtrykket "Numerisk ip addresse" sikrer han at de fleste folk kan forstå hvad han mener.
#63 nej, hvis du downloader et eksekverbart program fra Firefox er det samme problem der, der foregår bare i et andet miljø. Derfor er det også smart at gøre opmærksom på sikkerheds risiko under download og under eksekvering.
Og ligesom med downloads af filer kan du fravælge dig at hente filen eller eksekvere den. Det ændrer Firefox ikke uanset hvad du tror(Derfor også security through obscurity).
Og det er også derfor at det er brugeren der skal tænke sig om, og det gælder for så vidt IE som FF.
#66 Din idé er ikke dum. Men hvad tror du der sker hvis et firma begynder at titulere fx Gator software som malware? Så sker der det at der kommer en retsag, og så er det firma dødt.
Og er også enig i at før SP2 var der ikke sat stor fokus på det, men synes stadigvæk det gælder at hvis man bruger hovedet så kan man også undgå det meste malware.
#67
Jeg forstår virkelig ikke hvad du mener? Ja, både Firefox og IE spørger om jeg vil gemme eller eksekvere filen - og hvad så? Har jeg påstået andet?
Security through obscurity dækker over at man ved ikke at afsløre adgangen til sine informationer kan holde folk ude. Hvordan har det noget tilfælles med en dialogboks der spørger om vil downloade eller eksekvere?
Jeg forstår virkelig ikke hvad du mener? Ja, både Firefox og IE spørger om jeg vil gemme eller eksekvere filen - og hvad så? Har jeg påstået andet?
Security through obscurity dækker over at man ved ikke at afsløre adgangen til sine informationer kan holde folk ude. Hvordan har det noget tilfælles med en dialogboks der spørger om vil downloade eller eksekvere?
citat: "Men problemet er jo bare at du sagtens kan tilpasse dine internetindstillinger til at udelukke ActiveX."
Så er vi tilbage ved: I IE skal du AKTIVT gøre din browser "sikker", i Firefox skal du AKTIVT gøre den "usikker".
Selvom du ikke fjerner al ActiveX funktionalitet, så skal du stadig aktivt acceptere installation af AXplugins. Det er vel netop det hele hans blog går ud på. IE har "no" som default i potentielt farlige situationer, mens FF har "yes", hvilket er uheldigt, uanset hvor sikre hver browser så ellers måtte være.
#68 Hvorfor spørger du ind til noget jeg allerede har forklaret?
Du siger jo ActiveX er usikkert, men det tager ikke en datamatiker til at regne ud at det bare er eksekverbar kode, og eksekverbar kode kan anskaffes på andre måder end igennem ActiveX.
Resten forklarer du jo godt for dig selv, når du downloader en fil via firefox tilbageholder den jo i alt sin enkelthed hvorvidt de har en digital signatur eller ej, og i såfald de har en, hvem der ejer den.
#69 Især i situationer hvor man måske er i gang med noget andet. Kender i ikke den hvor man måske sidder og skriver lidt, mens man samtidig downloader en fil.
Bagefter skal filen jo kopieres fra temp mappen, og hvis den nu fx er størrelsen af en god demo(100-400MB) så kommer den der flytte dialogboks jo op, og kommer du til at trykke space eller enter, så mister du downloadet.
Det samme kan jo også ske med downloads som sådan, eller activex control.
Det skete faktisk (før SP2) at en popup åbenbart ville have en ActiveX control ind, og jeg lagde ikke mærke til popup'en overhovedet men browsede normalt på siden, så da jeg skulle til at trykke et link så passede det lige som at popuppen var loadet færdig og havde givet den der "Vil du installere..." og "Ja" var uheldigt nok lige over det link jeg skulle til at trykke på.
Du siger jo ActiveX er usikkert, men det tager ikke en datamatiker til at regne ud at det bare er eksekverbar kode, og eksekverbar kode kan anskaffes på andre måder end igennem ActiveX.
Resten forklarer du jo godt for dig selv, når du downloader en fil via firefox tilbageholder den jo i alt sin enkelthed hvorvidt de har en digital signatur eller ej, og i såfald de har en, hvem der ejer den.
#69 Især i situationer hvor man måske er i gang med noget andet. Kender i ikke den hvor man måske sidder og skriver lidt, mens man samtidig downloader en fil.
Bagefter skal filen jo kopieres fra temp mappen, og hvis den nu fx er størrelsen af en god demo(100-400MB) så kommer den der flytte dialogboks jo op, og kommer du til at trykke space eller enter, så mister du downloadet.
Det samme kan jo også ske med downloads som sådan, eller activex control.
Det skete faktisk (før SP2) at en popup åbenbart ville have en ActiveX control ind, og jeg lagde ikke mærke til popup'en overhovedet men browsede normalt på siden, så da jeg skulle til at trykke et link så passede det lige som at popuppen var loadet færdig og havde givet den der "Vil du installere..." og "Ja" var uheldigt nok lige over det link jeg skulle til at trykke på.
#70
At eksekverbar kode kan anskaffes på anden vis end ActiveX ...igen kan man bare spørge: Hvad er det et argument for?
At fordi der er et dybt hul i vejen på rugevænget, kan der altså teoretisk set osse godt være det på andevænget eller hvad?
Hvis de tilbageholder en signatur der ikke er de bits den er skrevet på værd, er det så stadig "security through obscurity"?
citat: "Hvorfor spørger du ind til noget jeg allerede har forklaret?" - tjah enten er jeg dum, eller osse forklarer du dig dårligt.
At eksekverbar kode kan anskaffes på anden vis end ActiveX ...igen kan man bare spørge: Hvad er det et argument for?
At fordi der er et dybt hul i vejen på rugevænget, kan der altså teoretisk set osse godt være det på andevænget eller hvad?
Hvis de tilbageholder en signatur der ikke er de bits den er skrevet på værd, er det så stadig "security through obscurity"?
citat: "Hvorfor spørger du ind til noget jeg allerede har forklaret?" - tjah enten er jeg dum, eller osse forklarer du dig dårligt.
#71 Hvad er det for en analogi at komme ind på? At man skal tage den andevænget istedet da den også er hullet?
Eller at man har lappe hullet på rugevænget, og det holder så længe du kører 10km/t max?
Din analogi har mangler, ActiveX er ikke det svageste led, det er brugeren som benytter det.
Og om du vil det eller ej kan signaturer give geniale administrative formål i centraliserede netværk, samt kan det hjælpe hjemmebrugeren med at forstå hvad der foregår.
At du så med nogenlunde sikkerhed kan se hvad der er falsk eller hvad der ikke er falskt er kun godt for dig. Men nu er der potentielt 6 milliarder andre som kunne være af anden mening.
Eller at man har lappe hullet på rugevænget, og det holder så længe du kører 10km/t max?
Din analogi har mangler, ActiveX er ikke det svageste led, det er brugeren som benytter det.
Og om du vil det eller ej kan signaturer give geniale administrative formål i centraliserede netværk, samt kan det hjælpe hjemmebrugeren med at forstå hvad der foregår.
At du så med nogenlunde sikkerhed kan se hvad der er falsk eller hvad der ikke er falskt er kun godt for dig. Men nu er der potentielt 6 milliarder andre som kunne være af anden mening.
OMFG!! Manden er jo imbicil !!
idioten mener vel ikke at firefox virker utroværdigt fordi der ikke er blevet punget ud til hans arbejdsgiver for en digital signering som i den sidste ende ikke kan bruges til en skid ?
bare et af mange kritikpunkter ved hans retarderede artikel..
idioten mener vel ikke at firefox virker utroværdigt fordi der ikke er blevet punget ud til hans arbejdsgiver for en digital signering som i den sidste ende ikke kan bruges til en skid ?
bare et af mange kritikpunkter ved hans retarderede artikel..
#72
Nej min analogi holder ikke, men den er udledt af:
"Du siger jo ActiveX er usikkert, men det tager ikke en datamatiker til at regne ud at det bare er eksekverbar kode, og eksekverbar kode kan anskaffes på andre måder end igennem ActiveX."
Det er ikke et argument. Det er en konstatering, der falder uden for kontekst.
Hvis det er et argument for noget, er det din "det er i sidste ende brugeren det kommer an på". Ja det kan vi da sagtens være enige om.
Men når nu brugerne (dine 6 mia.) har en tendens til at få molestreret deres browser så meget mere med IE end med Firefox, hvilken browser bør de så bruge?
Nej min analogi holder ikke, men den er udledt af:
"Du siger jo ActiveX er usikkert, men det tager ikke en datamatiker til at regne ud at det bare er eksekverbar kode, og eksekverbar kode kan anskaffes på andre måder end igennem ActiveX."
Det er ikke et argument. Det er en konstatering, der falder uden for kontekst.
Hvis det er et argument for noget, er det din "det er i sidste ende brugeren det kommer an på". Ja det kan vi da sagtens være enige om.
Men når nu brugerne (dine 6 mia.) har en tendens til at få molestreret deres browser så meget mere med IE end med Firefox, hvilken browser bør de så bruge?
#74 Hvordan er den taget ud af kontekst?
Har forresten aldrig påstået der er 6 milliarder brugere, du skulle måske læse bedre.
Og i der er ikke tale om hvilket browservalg i dit tilfælde, i dit tilfælde er der nok snakke om hvorvidt jeg skulle begrænse retighederne.
Og igen, det er sandt uanset hvilken af de 2 browsere du foretrækker.
Har forresten aldrig påstået der er 6 milliarder brugere, du skulle måske læse bedre.
Og i der er ikke tale om hvilket browservalg i dit tilfælde, i dit tilfælde er der nok snakke om hvorvidt jeg skulle begrænse retighederne.
Og igen, det er sandt uanset hvilken af de 2 browsere du foretrækker.
Det er ude af kontekst fordi du ævler med en logik som går nogenlunde som følger: "orh hvad, det kan da godt være at ActiveX er en potentielt sikkerhedsrisiko, men det er der altså osse andet der er, altså ikk'oss".
Du må undskylde at jeg prøver at tolke dine indlæg (modsat hvad du tror ved jeg godt der formentlig ikke er 6 mia internetbrugere i verden) men:
"At du så med nogenlunde sikkerhed kan se hvad der er falsk eller hvad der ikke er falskt er kun godt for dig. Men nu er der potentielt 6 milliarder andre som kunne være af anden mening."
De 6 mia. mener ikke at det kun er godt for mig eller hvad?
Hvis du ikke tror på mig når jeg siger at brugere hærger deres IE væsentlig mere end en Firefox, så tag en tur på eksperten og søg på "hijack this log" - og spørg dem hvilken browser de bruger?
Du må undskylde at jeg prøver at tolke dine indlæg (modsat hvad du tror ved jeg godt der formentlig ikke er 6 mia internetbrugere i verden) men:
"At du så med nogenlunde sikkerhed kan se hvad der er falsk eller hvad der ikke er falskt er kun godt for dig. Men nu er der potentielt 6 milliarder andre som kunne være af anden mening."
De 6 mia. mener ikke at det kun er godt for mig eller hvad?
Hvis du ikke tror på mig når jeg siger at brugere hærger deres IE væsentlig mere end en Firefox, så tag en tur på eksperten og søg på "hijack this log" - og spørg dem hvilken browser de bruger?
#76 Du siger at du skal gøre Firefox usikker, og du siger man skal gøre IE sikker.
ActiveX er ikke ret anderledes som for at downloade en fil(Faktisk er sikkerheden i forhold til, boostet siden SP2).
I Firefox er det muligt at downloade en fil og køre den.
Hvor er forskellen? At den fil downloadet igennem Firefox, eller hvilken download manager man nu har, kan være endnu mere farlig end ActiveX er?
dvs. vi skal jo faktisk slå downloads fra for at gøre browseren sikker, og nu når vi er i gang lad os også give brugeren begrænsede retigheder.
Det download kunne måske være installation af en driver som derved har en langt større adgang end hvad nogen ActiveX kontrol eller noget andet program for den sags skyld kunne have.
Den eneste forskel der er, er markedsandelen vil man have størstedelen må man tage dem med størst markedsandel. Men det ændrer ikke på at hvis du downloader og eksekverer nogen form for virus, malware m.m. så er du på skideren.
Forresten har jeg hverken sagt, eller troet der er 6 milliarder brugere, det tal er fordi jeg ikke er sikker på hvor mange der lige har internetadgang, og derudover benytter offentlige maskiner til internetadgang, eller lejer sig ind på netcaféer og bruger dens internetadgang.
Man kan sagtens sige det nok ikke er 6 milliarder, men at 6 milliarder har adgang til internettet er ikke forkert, det er bare urealistisk at de vil forfølge de muligheder de har for at få internetadgang.
Og klart er det da at IE er hærget mere, ikke bare er der flere der bruger den. De folk som nok (indtil nu i det mindste) primært bruger Firefox må siges at have hvis kendskab til internettet som sådan.
Men nu dømmer jeg ikke softwaren på dem der bruger den, men hvad siger du når balancen skifter over til Firefox? Så hedder det vel også pludselig "Men nu dømmer jeg ikke softwaren på dem der bruger den", når i opdager hvor meget der er muligt med forsømmelse af sikkerhed.(Hvad siger i egentlig til software, hvor brugeren ikke holder softwaren opdateret med de nyeste sikkerhedsopdateringer?)
ActiveX er ikke ret anderledes som for at downloade en fil(Faktisk er sikkerheden i forhold til, boostet siden SP2).
I Firefox er det muligt at downloade en fil og køre den.
Hvor er forskellen? At den fil downloadet igennem Firefox, eller hvilken download manager man nu har, kan være endnu mere farlig end ActiveX er?
dvs. vi skal jo faktisk slå downloads fra for at gøre browseren sikker, og nu når vi er i gang lad os også give brugeren begrænsede retigheder.
Det download kunne måske være installation af en driver som derved har en langt større adgang end hvad nogen ActiveX kontrol eller noget andet program for den sags skyld kunne have.
Den eneste forskel der er, er markedsandelen vil man have størstedelen må man tage dem med størst markedsandel. Men det ændrer ikke på at hvis du downloader og eksekverer nogen form for virus, malware m.m. så er du på skideren.
Forresten har jeg hverken sagt, eller troet der er 6 milliarder brugere, det tal er fordi jeg ikke er sikker på hvor mange der lige har internetadgang, og derudover benytter offentlige maskiner til internetadgang, eller lejer sig ind på netcaféer og bruger dens internetadgang.
Man kan sagtens sige det nok ikke er 6 milliarder, men at 6 milliarder har adgang til internettet er ikke forkert, det er bare urealistisk at de vil forfølge de muligheder de har for at få internetadgang.
Og klart er det da at IE er hærget mere, ikke bare er der flere der bruger den. De folk som nok (indtil nu i det mindste) primært bruger Firefox må siges at have hvis kendskab til internettet som sådan.
Men nu dømmer jeg ikke softwaren på dem der bruger den, men hvad siger du når balancen skifter over til Firefox? Så hedder det vel også pludselig "Men nu dømmer jeg ikke softwaren på dem der bruger den", når i opdager hvor meget der er muligt med forsømmelse af sikkerhed.(Hvad siger i egentlig til software, hvor brugeren ikke holder softwaren opdateret med de nyeste sikkerhedsopdateringer?)
#77: [offtopic post]
"Man kan sagtens sige det nok ikke er 6 milliarder, men at 6 milliarder har adgang til internettet er ikke forkert, det er bare urealistisk at de vil forfølge de muligheder de har for at få internetadgang."
Der er ~6 milliarder mennesker i verden, jeg tror ikke halvdelen har en realistisk chance for at "forfølge de muligheder de har for at få internetadgang" :)
"Man kan sagtens sige det nok ikke er 6 milliarder, men at 6 milliarder har adgang til internettet er ikke forkert, det er bare urealistisk at de vil forfølge de muligheder de har for at få internetadgang."
Der er ~6 milliarder mennesker i verden, jeg tror ikke halvdelen har en realistisk chance for at "forfølge de muligheder de har for at få internetadgang" :)
Forsøger jeg at koge noget af den enorme mængde tekst jeg har bearbejdet i to timer ned, konkluderer jeg at:
- Han bebrejder et OSS-projekt for ikke at anvende samme verificeringsmodeller som hans egen producent. Det til trods for, at en md5-hash er mindst lige så god som et eller andet dyrt (altså, dyrere end gratis) certifikat, til formålet.
- Han bebrejder projektet for at være bygget om full disclosure og ikke security through obscurity, selv om de to står lige i den generelle sikkerhedsholdning.
- Han tillægger default-svar betragtelig mere værdi end jeg og dem jeg har mødt gør. Imponerende er det imidlertid, at han mener at defaultsvaret i FF til plugin-installation er at fortsætte -- til trods for at man er blevet tvunget igennem en ventetid, så man ikke uforvarende klikker sig videre. Hvordan kan man dog konkludere at det er et default-svar? Endda skaber det i det hele taget argumentation for "Now tell me again, which is the more secure browser?"?
- Han mener at download-mirrors er farlige. Så længe henvisningen kommer fra en betroet side, så kan jeg ikke forstå.
Min egen holdning til alt dette er, at sikkerhed er folks ansvar. Kører man med vilje uopdateret software, mister man sikkerhed. Kører man hentede binaries, mister man sikkerhed. Folk må /selv/ vurdere om de stoler på softwaren.
Eksempelvis stoler jeg personligt på noget, som jeg henter fra mine Debian-mirrors, i kraft af at jeg stoler på maintainerne af disse. NYT-læsere stoler på mirror.sg.depaul.edu, for de blev henvist til den fra getfirefox.com.
Vil man ydermere være sikker på integriteten af den software man henter, kan man /selv/ tjekke softwarepakken mod den hash, som kan findes på ftp://ftp.mozilla.org/pub/mozilla.org/firefox/rele... Bemærk domænet, som det ligger på. Så længe din DNS-service er i orden, stoler du på dette.
Manden foreslår at det er browserens job at gøre det. Det er jeg ret så uenig i - det er at (blive tvunget til) at lade verificeringen foregå eksternt, og det ødelægger pointen med verificering, da det ikke var èn selv som foretog den.
Ultimativt bliver Microsoft og deres sikkerhedsmodel nød til at tvinge deres brugere til at undgå at installere noget software, som ikke har været igennem en WHQL-certificering eller lignende - brugerne er jo blevet så dumme efterhånden, at de ikke ved hvad sikkerhed er, i det hele taget.
Konsekvensen er, at intet software kan udvikles, uden at Microsoft enten laver det selv, eller er i "tæt samarbejde" med de, som laver det.
Enhver Windows-bruger, som nu eller senere indser, at han eller hun bliver malket, er velkommen til at skifte.
Jævnt offtopic:
Hvordan skulle man kunne betro Flash, fra Firefox's side? Er det ikke proprietære plugins? (Mig, ja, jeg er glad for Konqueror og swf_play)
Hvor synes jeg egentlig at det er ækelt, med Firefox' security-policy: http://www.mozilla.org/projects/security/security-...
Nogen bugs er åbenbart security-sensitive. Tsk, tsk, tsk.
- Han bebrejder et OSS-projekt for ikke at anvende samme verificeringsmodeller som hans egen producent. Det til trods for, at en md5-hash er mindst lige så god som et eller andet dyrt (altså, dyrere end gratis) certifikat, til formålet.
- Han bebrejder projektet for at være bygget om full disclosure og ikke security through obscurity, selv om de to står lige i den generelle sikkerhedsholdning.
- Han tillægger default-svar betragtelig mere værdi end jeg og dem jeg har mødt gør. Imponerende er det imidlertid, at han mener at defaultsvaret i FF til plugin-installation er at fortsætte -- til trods for at man er blevet tvunget igennem en ventetid, så man ikke uforvarende klikker sig videre. Hvordan kan man dog konkludere at det er et default-svar? Endda skaber det i det hele taget argumentation for "Now tell me again, which is the more secure browser?"?
- Han mener at download-mirrors er farlige. Så længe henvisningen kommer fra en betroet side, så kan jeg ikke forstå.
Min egen holdning til alt dette er, at sikkerhed er folks ansvar. Kører man med vilje uopdateret software, mister man sikkerhed. Kører man hentede binaries, mister man sikkerhed. Folk må /selv/ vurdere om de stoler på softwaren.
Eksempelvis stoler jeg personligt på noget, som jeg henter fra mine Debian-mirrors, i kraft af at jeg stoler på maintainerne af disse. NYT-læsere stoler på mirror.sg.depaul.edu, for de blev henvist til den fra getfirefox.com.
Vil man ydermere være sikker på integriteten af den software man henter, kan man /selv/ tjekke softwarepakken mod den hash, som kan findes på ftp://ftp.mozilla.org/pub/mozilla.org/firefox/rele... Bemærk domænet, som det ligger på. Så længe din DNS-service er i orden, stoler du på dette.
Manden foreslår at det er browserens job at gøre det. Det er jeg ret så uenig i - det er at (blive tvunget til) at lade verificeringen foregå eksternt, og det ødelægger pointen med verificering, da det ikke var èn selv som foretog den.
Ultimativt bliver Microsoft og deres sikkerhedsmodel nød til at tvinge deres brugere til at undgå at installere noget software, som ikke har været igennem en WHQL-certificering eller lignende - brugerne er jo blevet så dumme efterhånden, at de ikke ved hvad sikkerhed er, i det hele taget.
Konsekvensen er, at intet software kan udvikles, uden at Microsoft enten laver det selv, eller er i "tæt samarbejde" med de, som laver det.
Enhver Windows-bruger, som nu eller senere indser, at han eller hun bliver malket, er velkommen til at skifte.
Jævnt offtopic:
Hvordan skulle man kunne betro Flash, fra Firefox's side? Er det ikke proprietære plugins? (Mig, ja, jeg er glad for Konqueror og swf_play)
Hvor synes jeg egentlig at det er ækelt, med Firefox' security-policy: http://www.mozilla.org/projects/security/security-...
Nogen bugs er åbenbart security-sensitive. Tsk, tsk, tsk.
#79
To timer? Ikke meget roadrunner over dig :P
Anyways, måske skulle du bruge din tid noget mere fornuftigt. Læs f.eks hans svar på kritikken. Der tager han samtlige af alle dine punkter op og argumentere(ret godt faktisk) for sine synspunkter.
Hvis du har brugt 2 timer på det allerede, mon ikke det er værd at bruge 5 minutter på at læse hans svar?
To timer? Ikke meget roadrunner over dig :P
Anyways, måske skulle du bruge din tid noget mere fornuftigt. Læs f.eks hans svar på kritikken. Der tager han samtlige af alle dine punkter op og argumentere(ret godt faktisk) for sine synspunkter.
Hvis du har brugt 2 timer på det allerede, mon ikke det er værd at bruge 5 minutter på at læse hans svar?
Mine to tilføjelser:
1) Kritik fra MS's medarbejdere, af en konkurrent, skal tages med et gran salt eller to. Der er enkelte gode kritikpunkter i teksten, men det er tydeligt, at medarbejderen er 'forudindtaget'. Vi får vel heller ikke en højtlønnet medarbejder fra Coca-Cola til at vurdere Pepsi's kvalitet? (uanset hvad man så ellers mener om den ene eller den anden cola)
2) MS's IE og Mozillas FF-udviklere, har to vidt forskellige grundholdninger til ordet 'sikkerhed', og hvilke instanser, protokoller og metoder det indbefatter i daglig browsing. Som jeg ser det, er den ene generelt centralliseret, og den anden sikkerheds'ideologi' er decentralliseret.
Jeg hælder mest til FF-tankegangen, og FF har - indtil videre - også vist sig at være mest sikker på mit system i alm. brug. (har brugt IE i en del år før FF)
Det skal dog ikke forstås som at IE er ubrugelig.
1) Kritik fra MS's medarbejdere, af en konkurrent, skal tages med et gran salt eller to. Der er enkelte gode kritikpunkter i teksten, men det er tydeligt, at medarbejderen er 'forudindtaget'. Vi får vel heller ikke en højtlønnet medarbejder fra Coca-Cola til at vurdere Pepsi's kvalitet? (uanset hvad man så ellers mener om den ene eller den anden cola)
2) MS's IE og Mozillas FF-udviklere, har to vidt forskellige grundholdninger til ordet 'sikkerhed', og hvilke instanser, protokoller og metoder det indbefatter i daglig browsing. Som jeg ser det, er den ene generelt centralliseret, og den anden sikkerheds'ideologi' er decentralliseret.
Jeg hælder mest til FF-tankegangen, og FF har - indtil videre - også vist sig at være mest sikker på mit system i alm. brug. (har brugt IE i en del år før FF)
Det skal dog ikke forstås som at IE er ubrugelig.
#80 - Jeg er ikke glad for at deltage blindt i debatten, og det at læse alle disse indlæg igennem tager sgu sin tid. Jeg har også læst både hele hans entry og hans svar igennem, samt alt for mange af kommentarerne dertil.
Hans svar tager ikke min vinkel på det op, i min mening. Han kommenterer alle de personer, som har kaldt ham idiot. Det er ikke hvad jeg prøver på, men snarere at illustrere at hans syn på dette er forkert. Meget Microsoftsk, antager han at det er Microsofts vurderingsmetoder, som gælder.
For at sikre at newz.dk-læseren (som er kommet så langt ned i tråden) anskuer dette på en anden måde end manden vil have os til, skriver jeg disse indlæg. Dette er nemlig Uncertainty-delen af Microsofts model.
Iøvrigt synes jeg kun at jeg kan se, at han direkte hjælper mig i min sag:
Og hvis han da ikke - på mystisk vis - mistede tilliden til mozillas organisation dér, havde det at han blev linket til et mirror været verifikation nok, for at pakken han hentede, var god nok.
Hans svar tager ikke min vinkel på det op, i min mening. Han kommenterer alle de personer, som har kaldt ham idiot. Det er ikke hvad jeg prøver på, men snarere at illustrere at hans syn på dette er forkert. Meget Microsoftsk, antager han at det er Microsofts vurderingsmetoder, som gælder.
For at sikre at newz.dk-læseren (som er kommet så langt ned i tråden) anskuer dette på en anden måde end manden vil have os til, skriver jeg disse indlæg. Dette er nemlig Uncertainty-delen af Microsofts model.
Iøvrigt synes jeg kun at jeg kan se, at han direkte hjælper mig i min sag:
"...Great attitude -- let's keep the population uneducated and..."- Hvorfor det er nødvendigt at browseren ikke overtager verificerings-delen.
"Let's say I trust the Mozilla developers to write 100% secure code. Let's also say I trust the mozilla.org administrators to run a secure web site. Let's even further suppose that I trust the mozilla.org administrators to only allow "good" mirrors (ie, they won't use www.hackers-r-us.com as an official mirror for Firefox).Øjensynligt skifter han mening halvvejs. Hvorfor skulle mozilla.org pludselig vælge skidte mirrors, og hvorfor vækkedes hans mistillid ikke allerede ved skridtet mellem getfirefox.com og mozilla.org?
Does that mean I should trust the administrators / users of each of those mirrors to keep their systems secure? No."
Og hvis han da ikke - på mystisk vis - mistede tilliden til mozillas organisation dér, havde det at han blev linket til et mirror været verifikation nok, for at pakken han hentede, var god nok.
#82 Jeg vil mene der er forskel på den form for "uddannelse"
1. Man downloader et program fra et domæne der skulle påstå at være Microsoft's officielle side, men når man kører filen kan man se at filen ikke er signeret og derfor kører man det ikke.
2. Man downloader det selvsamme program, den her gang begynder man bare at opstille et sandkasse miljø, benytter sig af reverse engineering, og finder ud af at man ikke kan stole på programmet.
klart man skal være kritisk på det man henter, men man skal da heller ikke ligefrem være et eller andet geni som er paranoid.
Siden han bliver omdirigeeret til den officielle side kan man vel godt sige at der ikke er nogen grund til ikke at stole på det.
Men han gør jo faktisk opmærksom på det, så hvis nu en eller anden havde købt et domæne der hed www.getfirefox.org og man bliver omdirigeret til www.searchportal.cc(eller sådan noget lamt noget). Så finder man hurtigt ud af på URL'en at den hverken passer til mozilla eller getfirefox.
Mange af hans udtalelser baserer faktisk på at brugeren i det mindste bruger hovedet en smule, det værste er nok bare at det ikke sker.
Fordi selvom han har ret så tvivler jeg på mange normale brugere tager sig af de ting, selvom de burde. Og det er jo ikke ham selv han taler for.
Han taler jo for dem der eventuelt ser reklamen i nyheden.
1. Man downloader et program fra et domæne der skulle påstå at være Microsoft's officielle side, men når man kører filen kan man se at filen ikke er signeret og derfor kører man det ikke.
2. Man downloader det selvsamme program, den her gang begynder man bare at opstille et sandkasse miljø, benytter sig af reverse engineering, og finder ud af at man ikke kan stole på programmet.
klart man skal være kritisk på det man henter, men man skal da heller ikke ligefrem være et eller andet geni som er paranoid.
Siden han bliver omdirigeeret til den officielle side kan man vel godt sige at der ikke er nogen grund til ikke at stole på det.
Men han gør jo faktisk opmærksom på det, så hvis nu en eller anden havde købt et domæne der hed www.getfirefox.org og man bliver omdirigeret til www.searchportal.cc(eller sådan noget lamt noget). Så finder man hurtigt ud af på URL'en at den hverken passer til mozilla eller getfirefox.
Mange af hans udtalelser baserer faktisk på at brugeren i det mindste bruger hovedet en smule, det værste er nok bare at det ikke sker.
Fordi selvom han har ret så tvivler jeg på mange normale brugere tager sig af de ting, selvom de burde. Og det er jo ikke ham selv han taler for.
Han taler jo for dem der eventuelt ser reklamen i nyheden.
#82
Som jeg forstår ham, mener han at selvom deres mirrors ikke er i ond tro, så kan han stadig ikke overføre sin tillid til sikkerheden på Mozilla's egne servere til sikkerheden på mirrors. Og han efterlyser derfor verificering udover manuelle checks på hashes, så også hr. og fru DK har en mulighed checke lidt på sagerne. Om hr. og fru DK så forstår/har tålmodighed til at kigge på signaturer er måske tvivlsomt. Så der skal måske noget uddannelse af den almene bruger til i begge tilfælde.
Uanset hvad må det dog siges at være uheldigt at FF ikke fremviser de signaturer, der nu engang er, det må alt andet lige være bedst at få dem vist. Og et default på "no" (også efter diverse delays) må vist også stå i UI-håndbogens små tommelfingerregler for sikkerhed, så alt potentielt skadeligt kun sker efter aktivt valg fra brugerens side.
Øjensynligt skifter han mening halvvejs. Hvorfor skulle mozilla.org pludselig vælge skidte mirrors, og hvorfor vækkedes hans mistillid ikke allerede ved skridtet mellem getfirefox.com og mozilla.org?
Og hvis han da ikke - på mystisk vis - mistede tilliden til mozillas organisation dér, havde det at han blev linket til et mirror været verifikation nok, for at pakken han hentede, var god nok.
Som jeg forstår ham, mener han at selvom deres mirrors ikke er i ond tro, så kan han stadig ikke overføre sin tillid til sikkerheden på Mozilla's egne servere til sikkerheden på mirrors. Og han efterlyser derfor verificering udover manuelle checks på hashes, så også hr. og fru DK har en mulighed checke lidt på sagerne. Om hr. og fru DK så forstår/har tålmodighed til at kigge på signaturer er måske tvivlsomt. Så der skal måske noget uddannelse af den almene bruger til i begge tilfælde.
Uanset hvad må det dog siges at være uheldigt at FF ikke fremviser de signaturer, der nu engang er, det må alt andet lige være bedst at få dem vist. Og et default på "no" (også efter diverse delays) må vist også stå i UI-håndbogens små tommelfingerregler for sikkerhed, så alt potentielt skadeligt kun sker efter aktivt valg fra brugerens side.
#77
Det er muligt størstedelen af dem der bruger firefox har et hvis kendskab til internettet, men det er ikke kun derfor de slipper for diverse adware/spyware.
Min farfar og min fætter, begge med meget begrænset viden om internet og computere generelt, har jeg ofte været ude hos og "lave" deres computere fordi de endnu engang havde fået inficeret den med popups spyware lort, og så mange toolbars i internet explorer at det var umuligt at bruge browsere de første 2 dage efter den var startet op.
Efter jeg havde tvunget dem begge til at bruge firefox har der været et markant fald i spyware/adware som har inficeret deres maskiner, og jeg har endnu ikke skulle komme forbi da de begge virker fint.
Om dette skyldes firefox eller en pludselig stigning i min farfars og fætters computerviden er endnu umuligt at sige.
og ja jeg er udemærket klar over at sp2 har fået ordnet en masse, men det er stadig muligt at få mere lort ind med internet explorer end firefox, og ja jeg taler af erfaring..
Og klart er det da at IE er hærget mere, ikke bare er der flere der bruger den. De folk som nok (indtil nu i det mindste) primært bruger Firefox må siges at have hvis kendskab til internettet som sådan.
Det er muligt størstedelen af dem der bruger firefox har et hvis kendskab til internettet, men det er ikke kun derfor de slipper for diverse adware/spyware.
Min farfar og min fætter, begge med meget begrænset viden om internet og computere generelt, har jeg ofte været ude hos og "lave" deres computere fordi de endnu engang havde fået inficeret den med popups spyware lort, og så mange toolbars i internet explorer at det var umuligt at bruge browsere de første 2 dage efter den var startet op.
Efter jeg havde tvunget dem begge til at bruge firefox har der været et markant fald i spyware/adware som har inficeret deres maskiner, og jeg har endnu ikke skulle komme forbi da de begge virker fint.
Om dette skyldes firefox eller en pludselig stigning i min farfars og fætters computerviden er endnu umuligt at sige.
og ja jeg er udemærket klar over at sp2 har fået ordnet en masse, men det er stadig muligt at få mere lort ind med internet explorer end firefox, og ja jeg taler af erfaring..
#90 Du taler af erfaring, hvordan har du så fået mere lort end på IE6 med SP2 end Firefox?
Jeg installerer SP2 på alle de maskiner jeg kan få fingrene i, og ingen af dem har rapporteret noget spyware/malware, og jo de kan sagtens se der er noget galt, medmindre det er skjult(Men så ryger formålet jo).
Så vi har en der med erfaring siger at Firefox ikke installerer spyware(Den kan jeg være enig i(Men så bagefter også lige unødvendigt skal give IE en tur(Hvilket jeg ikke er enig i)))
Og vi har en med erfaring der siger at IE heller ikke installerer spyware.
Forresten jeg indegår i administrationen af over 250 maskiner, plus eventuelle selvstændige maskiner, samt hjemme-pc'er, og derudover også hvad de gamle derhjemme kan få prakket mig på af hjælp.
Firefox har ikke været nødvendigt på noget tidspunkt, men vi har dog installeret det på kundens ønske.
Jeg installerer SP2 på alle de maskiner jeg kan få fingrene i, og ingen af dem har rapporteret noget spyware/malware, og jo de kan sagtens se der er noget galt, medmindre det er skjult(Men så ryger formålet jo).
Så vi har en der med erfaring siger at Firefox ikke installerer spyware(Den kan jeg være enig i(Men så bagefter også lige unødvendigt skal give IE en tur(Hvilket jeg ikke er enig i)))
Og vi har en med erfaring der siger at IE heller ikke installerer spyware.
Forresten jeg indegår i administrationen af over 250 maskiner, plus eventuelle selvstændige maskiner, samt hjemme-pc'er, og derudover også hvad de gamle derhjemme kan få prakket mig på af hjælp.
Firefox har ikke været nødvendigt på noget tidspunkt, men vi har dog installeret det på kundens ønske.
Hans problem omkring signering, er kun et problem for Windows folket.
Det er f.eks ret almindeligt, at fri software udviklere GPG signere deres ting.
Men Windows understøtter så ikke GPG.
Her skal vi selvfølgelig huske at skelne mellem MD5 hashing og GPG signering.
Det sidste er selvfølgelig langt at foretrække, da det er kryptografisk signering.
Hvis en cracker komprimitere et mirror, og ligger en uren Mozilla op vil han jo nok ligge en matchende falsk MD5 fil op samtidigt... ;)
Han komme med få nyttige ting.
Og de ting vil der selvfølgelig blive lyttet til.
Men meget af det er ikke sønderligt holdbart. (Tydeligt biased af arbejdsgiverens dårlige vaner og manere.)
Det er f.eks ret almindeligt, at fri software udviklere GPG signere deres ting.
Men Windows understøtter så ikke GPG.
Her skal vi selvfølgelig huske at skelne mellem MD5 hashing og GPG signering.
Det sidste er selvfølgelig langt at foretrække, da det er kryptografisk signering.
Hvis en cracker komprimitere et mirror, og ligger en uren Mozilla op vil han jo nok ligge en matchende falsk MD5 fil op samtidigt... ;)
Han komme med få nyttige ting.
Og de ting vil der selvfølgelig blive lyttet til.
Men meget af det er ikke sønderligt holdbart. (Tydeligt biased af arbejdsgiverens dårlige vaner og manere.)
#84 . Nummer ét sker for tit for Microsoft selv, og nummer to må du slet ikke.
Dit eksempel med getfirefox.org er rivende irrelevant. Der går brugeren ind på en side, som intet har med projektet at gøre, og må derfor forvente at hente noget med lige stor relevans.
Den verificering, som #85 taler om, kan man få ved at sammenligne mod en hash fra mozilla.org -- hvis man da ikks stoler på at man har hentet den rigtige fil.
Microsofts ide om uddannelse af brugeren er imidlertid, at brugeren skal stole på Microsoft til at foretage verificeringen. Ganske ærligt, det er uacceptabelt på det sikkerhedsmæssige plan.
Iøvrigt vil det få den konsekvens, at brugerne bliver /dummere/ og mere afhængige af Microsoft -- de har ingen anden ide om, hvad sikkerhedsprocedurer og verificering er, end det lille flueben i Iexplore (som det har kostet udvikleren af produktet stadigt stigende beløb for at få).
Essencen er: Kildekritik er brugerens ansvar. De fleste bør stille sig tilfreds med at hente via links fra de officielle sider, men ellers er der md5-hashing. Alternativt kan man nøjes med at hente fra download-sider, man har tillid til (som jeg eksempelvis gør).
klart man skal være kritisk på det man henter, men man skal da heller ikke ligefrem være et eller andet geni som er paranoid.Præcis min pointe -- hvis du ikke stoler på deres mirror-valg er du paranoid. For der er jo en årsag til at de valgte de mirrors.
Dit eksempel med getfirefox.org er rivende irrelevant. Der går brugeren ind på en side, som intet har med projektet at gøre, og må derfor forvente at hente noget med lige stor relevans.
Den verificering, som #85 taler om, kan man få ved at sammenligne mod en hash fra mozilla.org -- hvis man da ikks stoler på at man har hentet den rigtige fil.
Microsofts ide om uddannelse af brugeren er imidlertid, at brugeren skal stole på Microsoft til at foretage verificeringen. Ganske ærligt, det er uacceptabelt på det sikkerhedsmæssige plan.
Iøvrigt vil det få den konsekvens, at brugerne bliver /dummere/ og mere afhængige af Microsoft -- de har ingen anden ide om, hvad sikkerhedsprocedurer og verificering er, end det lille flueben i Iexplore (som det har kostet udvikleren af produktet stadigt stigende beløb for at få).
Essencen er: Kildekritik er brugerens ansvar. De fleste bør stille sig tilfreds med at hente via links fra de officielle sider, men ellers er der md5-hashing. Alternativt kan man nøjes med at hente fra download-sider, man har tillid til (som jeg eksempelvis gør).
Verisign udstedte for et par år siden et certifikat til et par falske MS employees (http://www.cert.org/advisories/CA-2001-04.html), hvilket jo siger fantastiske ting om hvor blindt vi skal stole på signeret kode, selv hvis vi lytter til manden og kigger på om det er et firma vi stoler på.
En anden ting er hans argument med at trust ikke er transitive. Hvis trust ikke er transitive, så må han hellere sige det til Thawte der har lavet deres "web of trust", der netop er baseret på en grundide omkring transitiv trust.
Han taler som om at signeret kode er en nødvendighed for sikkerhed. Det mener jeg absolut ikke er den skinbarlige sandhed. Signeret kode er da en meget god ting at have på plads, men så er det heller ikke vigtigere. Som nævnt er det jo ikke nogen garanti mod at det stadig er noget skidt.
Jeg synes egentlig at han er lidt sørgelig. Hvis han nu virkelig havde fat i noget stort, så kan jeg forstå at han gider - men at gide at starte hvad han måtte have vidst ville blive en flamewar på grundlag af sådan nogle lamme småting er lidt til grin, og får ham mest af alt til at ligne en lidt smålig jaloux mand.
Hans svar på /. kommentarerne gør heller ikke meget for at modvirke det indtryk.
En anden ting er hans argument med at trust ikke er transitive. Hvis trust ikke er transitive, så må han hellere sige det til Thawte der har lavet deres "web of trust", der netop er baseret på en grundide omkring transitiv trust.
Han taler som om at signeret kode er en nødvendighed for sikkerhed. Det mener jeg absolut ikke er den skinbarlige sandhed. Signeret kode er da en meget god ting at have på plads, men så er det heller ikke vigtigere. Som nævnt er det jo ikke nogen garanti mod at det stadig er noget skidt.
Jeg synes egentlig at han er lidt sørgelig. Hvis han nu virkelig havde fat i noget stort, så kan jeg forstå at han gider - men at gide at starte hvad han måtte have vidst ville blive en flamewar på grundlag af sådan nogle lamme småting er lidt til grin, og får ham mest af alt til at ligne en lidt smålig jaloux mand.
Hans svar på /. kommentarerne gør heller ikke meget for at modvirke det indtryk.
Jeg har læst den første halvdel af indlæg her..... jeg giiiiider ikke mere MS vs. whoever bullshit.... Det kan åbenbart ikke siges mange gange nok (som med børn):
"Koncentrér jer om JERES software og gør det BEDRE istedet for at svine naboen til!"
BØRNEHAVE!!!!!!!
Det er sgu spild af min og mange andres tid.... NÅ!
"Koncentrér jer om JERES software og gør det BEDRE istedet for at svine naboen til!"
BØRNEHAVE!!!!!!!
Det er sgu spild af min og mange andres tid.... NÅ!
#92 Hvem snakker om browser hijacks? Jeg tvivler dog på det er umuligt at lave et CWS lignende alternativ til Firefox.
Men malware generelt.
Med IE6 kan malware åbenbart altid komme ind selvom default altid sørger for det ikke bliver installeret ved et uheld.
Med FF er det åbenbart umuligt (jf. nogles meninger) at få malware ind på systemet, selvom default faktisk er at installere det, om der så er delay eller ej.
I forhold til hvad der ellers kan tillades så er browser hijacks da det mindste af ens bekymringer.
#93 Så er det vel også muligt at indbygge det i FF? Man kan vel bare skifte signatur baseret på hvilket styresystem brugeren bruger.
Det er jo ikke fordi det populære malware er i linux miljøet :P
#95 Muligvis bare tracking cookies.
#96 Det nævnte jeg også, og han sagde ikke han skulle stole blindt på signaturer, han sagde man kunne hjælpe brugeren med at forstå hvor tingene kommer fra.
Men malware generelt.
Med IE6 kan malware åbenbart altid komme ind selvom default altid sørger for det ikke bliver installeret ved et uheld.
Med FF er det åbenbart umuligt (jf. nogles meninger) at få malware ind på systemet, selvom default faktisk er at installere det, om der så er delay eller ej.
I forhold til hvad der ellers kan tillades så er browser hijacks da det mindste af ens bekymringer.
#93 Så er det vel også muligt at indbygge det i FF? Man kan vel bare skifte signatur baseret på hvilket styresystem brugeren bruger.
Det er jo ikke fordi det populære malware er i linux miljøet :P
#95 Muligvis bare tracking cookies.
#96 Det nævnte jeg også, og han sagde ikke han skulle stole blindt på signaturer, han sagde man kunne hjælpe brugeren med at forstå hvor tingene kommer fra.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund